Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

О роли Службы ИБ на примере водопровода

Аватар пользователя Николай Казанцев
Автор: Казанцев Николай,
(2)
()
Пришла в голову такая вот не хитрая аналогия по мироустройству и месту службы информационной безопасности в нем: сравнить компанию с водопроводом (или нефтепроводом, так злободневней).

При такой аналогии получается, что:
  • Задача бизнеса - производить воду и определять куда ее нужно доставить,
  • Задача службы ИТ - проложить трубопровод по направлению, определенному бизнесом, и поддерживать его работу (обеспечение доступности)
  • Задача службы ИБ - замазать все щели, чтобы по дороге ничего не вытекало (нарушение конфиденциальности) и не попадало внутрь (нарушение целостности).
Именно такая последовательность. Иногда, службе ИБ удаётся договориться с "вышестоящим" уровнем (ИТ), и тогда получается использовать трубы понадежней, или даже направление/форму трубопровода скорректировать, но не более.

Службе же ИТ необходимо постоянно следить за службой ИБ, чтобы та, в процессе замазывания щелей, не налепила столько замазки, что в трубе образовались заторы.
Не очень приятно осознавать "замазывающую" роль ИБ, лучше перефразировать.

На эту тему (не к ИБ а более к ИТ) хорошо описано в книге "Блеск и нищета информационных технологий. Почему ИТ не являются конкурентным преимуществом"  Николаса Дж. Карра (в свободном доступе  в тексте и аудио)
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Скорее уж задачей ИБ является следить за тем, чтобы никто не сделал врезку в трубопровод, чтобы не просверлил в нем дыру, чтобы не подмешал к воде какую-то другую жидкость....
А щели обычно замазывает сам трубопрокладчик.

up
59 users have voted.
Аватар пользователя riskmn

Типичный подход для РФ. Полный туман.
Не задача ИБ "замазывать шели и дыры" - это функция ИТ.
В этом контексте задачи ИБ будут звучать примерно так:
- разобраться кто может и как нарушить подачу воды клиенту (не только сделать трещины в трубе!!! - это стоит понимать);
- проработать и подсчитать во что каждое решение обойдется и показать бизнесу.
- Уточнить у бизнеса (утвердить) с кем бороться (на что будет финансирование), а с кем не стоит;
- найти самые уязвимые места (трубы, процессы, персонал, клиенты, поставщики, оборудование и прочее) и поставить их под контроль (не сами трубы - а факт подхода к ним (не порчу - только факт и на самом дальнем подступе));
- сосзать систему источников инфы разного типа;
- создаь систему мониторингга за инфой от этих источников (24х7х365), а в идеале (зависит от важности объекта) в реальном времени;
- выявлять, прескать и не допускать попытки нанесения урона (а не толдько появления трещин в трубах)....
А как сделать, приемы и методы - отдельный разговор.

up
23 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.